Powered By Blogger

Rechercher sur ce blogue

jeudi 24 septembre 2015

Virus: Des images contenant du javascript (vulnérabilité XSS)



Le site Imgur.com a été utilisé afin d'effectuer une attaque, les motivations n'ont pas encore été établies avec certitudes.
Une vulnérabilité a été utilisée permettant d'envoyer des images contenant du javascript (vulnérabilité XSS) sur le site imgur.com
L'attaquant a utilisé cette vulnérabilité pour charger une applet Flash (swf) hébergé sur 8chan, cette applet placée est placé favoris pour les domaines 8chan et devient persistante sur le navigateur WEB. Cette applet s'active à chaque visite d'une page du site 8chan.

L'applet SWF contient un Javascript qui va pinguer un domaine créé par l'attaquant 8chan.pw, ce domaine contient une page contenant à son tour un JavaScript afin d'exécuter le code souhaité par l'attaquant.
Le site 8chan.pw sert donc en quelque sort de Command&Control, un peu comme dans le cas d'une machine infectée.
On peut parler ici en quelque sorte de XSS worm.

Concrètement donc, si un visiteur charge une image imgur contenant le Javascript puis le site 8chan, l'applet se charge et se connecte au site de l'attaquant 8chan.pw.

Imgur dit avoir corrigé la vulnérabilité :

imgur_vulnerability.png
Imgur.com et XSS Worm


Malwarebytes a bloqué le site imgur.

Certains sites de news et Malwarebytes parlent donc d'attaques DoS contre 8chan (les navigateurs WEB faisant des requêtes sur le site 8chan), mais il semblerait plutôt que le site ait été utilisé simplement comme support afin d'exécuter l'applet SWF.

imgur a corrigé la vulnérabilité permettant d'exécuté le JavaScript.
8chan a aussi bloqué l'exécution d'applet SWF.

Néanmoins, l'applet SWF étant persistante car contenu dans le cache de votre navigateur WEB (LocalStorage)
Il faut vider le cache de votre navigateur WEB afin de supprimer l'applet Flash.

Quelques discussions sur l'attaques :
https://www.reddit.com/r/KotakuInAction ... rity_hole/
https://www.reddit.com/r/technology/com ... os/cv9tzzm
https://puu.sh/kjvLI/f57b37ccc0.png

Source.:

Aucun commentaire: